En los últimos meses los equipos de respuesta a amenazas han observado un cambio de paradigma: las campañas que roban credenciales y secretos dejan de ser un problema exclusivo de Windows y empiezan a prosperar en macOS. Según el equipo de investigación de seguridad de Microsoft, los atacantes están aprovechando lenguajes multiplataforma como Python y redes de distribución de confianza para infectar a usuarios de Apple con instaladores fraudulentos y técnicas que evitan la detección tradicional.
La puerta de entrada suele ser una pieza de ingeniería social bien pulida. Anuncios maliciosos y páginas construidas para parecer descargas legítimas llevan a víctimas que buscan herramientas populares —por ejemplo utilidades relacionadas con IA o bibliotecas— hacia instaladores en formato DMG que, al ejecutarse, despliegan familias de infostealers específicas para macOS. Microsoft documenta campañas que emplean cebos tipo ClickFix, una técnica que engaña al usuario para que copie y pegue comandos o instale lo que cree que es una corrección o una herramienta útil; el resultado es la auto‑infección del equipo con malware capaz de exfiltrar contraseñas, cookies y otros secretos.
Los nombres que han aparecido en los reportes incluyen familias como Atomic macOS Stealer (AMOS), MacSync y DigitStealer. En otros casos, las mismas herramientas basadas en Python facilitan la reutilización y adaptación del código para múltiples sistemas operativos, lo que acelera la expansión de estos ataques a entornos heterogéneos. Microsoft explica con más detalle estas observaciones en su análisis técnico: Infostealers without borders.
La técnica de los atacantes no se limita a instalar un binario malicioso: muchas campañas usan ejecución sin archivos persistentes, recurren a utilidades nativas de macOS y a AppleScript para automatizar tareas maliciosas, y manipulan el sistema para recolectar información sensible como credenciales guardadas en navegadores, datos de sesión y elementos guardados en iCloud Keychain. El riesgo no es sólo la pérdida de contraseñas personales; también están en juego secretos de desarrollo y tokens que permiten acceder a infraestructuras internas, lo que puede derivar en intrusiones mayores, suplantaciones de correo corporativo (BEC), ataques a la cadena de suministro o incluso extorsión y ransomware.
La distribución masiva pasa en muchos casos por malvertising y SEO poisoning: campañas que pagan por anuncios o manipulan resultados de búsqueda para redirigir a páginas clonadas de herramientas populares. Google Ads y otras plataformas de anuncios han sido mencionadas como vectores que, sin una revisión adicional por parte del usuario, pueden llevar a descargas aparentemente legítimas. Para entender cómo los anuncios maliciosos y las prácticas de calidad del inventario publicitario influyen en esto, conviene leer las políticas de Google Ads y las recomendaciones sobre contenido malicioso: Políticas de Google Ads.
Las campañas también han mostrado variaciones geográficas y operativas: por ejemplo, investigadores han vinculado ciertos stealers escritos en Python a actores que hablan vietnamita y han documentado el uso de servicios de mensajería como Telegram para canalizar comandos y filtrar datos. En otros incidentes se ha empleado WhatsApp para propagar enlaces maliciosos que conducen a instalaciones engañosas, tal y como han reportado equipos de respuesta a incidentes en análisis públicos sobre estas familias de malware.
¿Qué puede hacer una persona o una organización para protegerse? En primer lugar, desconfiar de instaladores que aparecen tras clics en anuncios o en sitios que imitan herramientas conocidas. En macOS, respetar los controles de seguridad nativos —como Gatekeeper— y asegurarse de instalar software únicamente desde desarrolladores verificados o desde la App Store reduce la superficie de ataque. Apple mantiene documentación sobre iCloud Keychain y sus medidas de seguridad que es útil revisar: ¿Qué es iCloud Keychain?. Además, actualizar el sistema operativo y las firmas de seguridad, y usar gestores de contraseñas y autenticación multifactor, limita el daño si algún artículo de credencial se ve comprometido.
Desde la postura de detección técnica, los equipos de seguridad deben prestar atención a comportamientos atípicos en Terminal, ejecuciones de AppleScript no justificadas, accesos a llaveros (Keychain) por procesos inesperados y tráfico de salida que incluya peticiones POST hacia dominios recientemente registrados o con reputación dudosa. La monitorización de egress y la correlación con herramientos de inteligencia de dominios maliciosos ayudan a identificar filtraciones antes de que se conviertan en incidentes mayores. También es útil revisar las guías de respuesta a phishing y técnicas de robo de credenciales publicadas por equipos de seguridad nacionales, como las recomendaciones del NCSC: Consejos sobre phishing.
En entornos mixtos, donde conviven equipos macOS y Windows, los atacantes aprovechan las mismas cadenas de infección para desplegar variantes de stealers en cada plataforma. En Windows no es raro ver persistencia mediante claves de registro o tareas programadas; en macOS la persistencia puede intentar camuflarse detrás de agentes de usuario o cron jobs. Por eso la protección efectiva combina prevención, detección y respuesta rápida: formación continua a usuarios sobre ingeniería social, controles técnicos que restrinjan la ejecución de software no autorizado y reglas de red para bloquear dominios y servicios utilizados por los actores maliciosos.
Los investigadores advierten que la escalada de este tipo de ataques —impulsada por lenguajes reutilizables como Python y por la explotación de canales legítimos de distribución— hace que la amenaza evolucione con rapidez. Para responsables de seguridad y administradores es fundamental mantener políticas de control de ejecución, aplicar segmentación de red, exigir autenticación sólida y revisar periódicamente accesos a secretos y repositorios de código. La transparencia en los informes de incidentes y el intercambio de indicadores de compromiso entre organizaciones acelera la capacidad de respuesta colectiva frente a estas campañas.
En definitiva, la combinación de publicidad maliciosa, instaladores falsos y stealers multiplataforma supone un recordatorio: la seguridad no depende sólo del sistema operativo. La prevención pasa por una capa humana entrenada, herramientas de defensa actualizadas y controles de red y endpoints que detecten comportamientos anómalos antes de que los atacantes se lleven información valiosa.
Para ampliar la lectura y consultar el análisis original de Microsoft, puedes acceder al informe técnico aquí: Microsoft Security Blog. Para guías prácticas sobre evitar el phishing y la exfiltración de credenciales, la recopilación de recursos del NCSC resulta muy útil: NCSC – Phishing. Y si quieres revisar las políticas y recomendaciones sobre anuncios y prácticas maliciosas en plataformas publicitarias, consulta la documentación de Google Ads: Google Ads policy.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...